Este texto pretende explicar como extirpar de nuestro sistema un rootkit. En este caso vamos a extirpar un rootkit en Windows 2000 Service Pack 4 y actualizado al máximo. Lo primero explicar que es un rootkit, un rootkit es un programa que oculta procesos, ficheros, conexiones, servicios...
Un rootkit es muy útil instalarlo en el servidor atacado, el rootkit proporciona esas cualidades a los programas que se suelen subir para administrar el servidor por el atacante.

El rootkit que he usado para escribir este texto es el Hack Defender versión 073, este rootkit es para NT, 2000 y XP.

Si en nuestro servidor notamos cosas raras, consumo excesivo de ancho de banda, variaciones del espacio del disco duro misteriosamente, consumos de CPU máximos y no sabemos que lo provoca, hemos buscado e intentado solucionar el problema y no hemos podido, lo mas seguro que en nuestro servidor tenga instalado un rootkit.
Aunque tengamos antivirus, una vez instalado el rootkit el antivirus no podrá hacer nada para detectarlo.

Para la detección de rootkit en Windows usamos un herramienta llamada RKD, el RKD detecta y detiene el rootkit y procesos ocultados por el rootkit.
Nota: En las pruebas realizadas en Windows 2000 Service Pack 4 después de la ejecución del rkd el sistema se queda un poco “tocado” y no funciona bien, por lo que se recomiendo reiniciar. Mientras que en Windows 2000 Service Pack 3 el sistema sigue estable y funcional.

Para realizar la detección y extirpación del rootkit simplemente ejecutamos el rkd.

El rkd detecta y detiene el rootkit pero no lo elimina. El rootkit ahora esta visible, y no es funcional por lo que podemos eliminarlo fácilmente.
El hack defender esta como servicio, el nombre del exe es adminh.exe y el servicio es admin.
Para la eliminación del servicio usamos Xpy-Service, lo ejecutamos y en Nombre escribimos en nombre del servicio del rootkit, en esta caso adminh y le damos a Eliminar, el inicio del rookit ya esta neutralizado.

Ahora vamos a por el y extraemos la información que ha estado ocultando. El rkd nos muestra la ruta donde esta ubicado el rootkit en este caso en e:\rootkit , vamos a esa carpeta y nos damos cuenta de que hay un fichero ini, en ese fichero ini esta la configuración del rootkit.

El rootkit ya esta extirpado y nuestro sistema no corre peligro, ahora solo queda hacerle una auditoria para saber los posibles fallos y parchear.

Este texto esta escrito con fines didácticos y el escritor del texto no se hace responsable de la mala utilización del mismo. Si no estas conforme con esta norma elimina el texto. Mantener en tu posesión este texto implica estar conforme con esta norma.

Herramientas
Rkd: web oficial http://www.3wdesign.es/security (también lo puedes encontrar en http://www.shellsec.net)
Xpy-Service en http://xpyxt.no-ip.com
Hack Defender http://rootkit.host.sk

 

Escrito por }-XpyXt-{ < xpyxt@desdeinter.net >

 

Publicado en: http://cyruxnet.com.ar